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(54) PROCEDE DE SECURISATION D'UNE DONNEE DANS UNE MEMOIRE REINSCRIPTIBLE. 

(57^ Procede de securisation d'une donnee dans une me- 
moire reinscriptible d'un composant electronique apte a ef- 
fectuer des operations susceptibles de modifier ladite don- 
nee. 

Selon I'invention, ledit procede comporte les etapes sui- 
vantes: 

a) dans une phase d'initialisation: 

- definir dans ladite memoire reinscriptible (E2PROM): 
. une zone (ZE) d'ecriture de la donnee, 
. une zone (ZS) de sauvegarde de la donnee, 
. une zone (Zi) dans laquelle est inscrite une valeur d'un rom- 

indicateur (INR(Zi)) de restauration : 

- definir dans une memoire morte (ROM) une valeur 
(INR(1)). dite restauration, de Tindicateur (INR(Zi)), indi- 
quant qu'une restauration de la donnee doit etre effectuee, 

- definir une valeur (INR(0)), dite d'effacement. de I'indi- 
cateur (INR(Zi)) de restauration, 

b) a chaque acces de ladite zone (ZE) d'ecriture: 

- lire dans la zone (Zi) la valeur dudit indtcateur (INR(Zi)). 

- si la valeur de I'indicateur de restauration est egale a la- 
dite valeur de restauration, effectuer une restauration de la 
donnee et inscrire dans la zone (Zi) ladite valeur (INR(0)) 
d'effacement. 

Application aux cartes a memoire electronique. 
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PRQCEOE DE SECURISATIOW O'UNE DONNEE DANS UNE 
MEMOIRE REINSCRIPTIBLE 

La presente invention concerne un procede de securisation 
5 d'au moins une donnee dans une memoire reinscriptible d'un 
composant electronique, ledit composant electronique etant apte a 
effectuer des operations susceptibles de modifier ladite donnee. 

L'invention trouve une application particulierement 
avantageuse dans le domaine des cartes a memoire electronique, 
io notamment les cartes connues sous le nom de porte-monnaie 
electroniques. 

D une maniere generate, les cartes a memoire electronique 
precitees utilisent des memoires du type EEPROM ou flash EPROM 
qui ont le double avantage d'etre non volatiles et electriquement 
5 effacables, done reinscriptibles. Toutefois, dans certaines 
applications, il arrive que ces memoires soient corrompues en 



1' alimentation electrique en cours d'operation, entrainant la perte 
des donnees anterieures sans inscription de nouvelles donnees. 

Ce dernier risque est particulierement important dans les 
applications, telles que les cartes a memoire electronique, ou ladite 
memoire est embarquee dans un objet dependant d'une source 
d'alimentation exterieure dont il peut etre separe a tout moment 
par arrachement volontaire ou non. 

Des solutions a ce probleme ont deja ete decrites. Elles 
consistent generalement, lorsqu'on veut modifier les valeurs d'une 
donnee, a inscrire les valeurs courantes successives de ladite 
donnee dans des zones differentes de la memoire. En consequence, 
il est necessaire de programmer le pointeur servant d indicateur de 
maniere a ce qu'il puisse designer la zone dans laquelle est inscrite 
la derniere valeur courante de la donnee. 

L'inconvenient de ce type de procede est qu'il necessite 
plusieurs operations description qui peuvent etre chacune le siege 
dune corruption. Le logiciel gerant les inscriptions dans la 



raison, 



notamment, 



d'une 



interruption accidentelle de 
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memoire doit done etre complexe et, de la, consommateur de temps 
et d'espace memoire. 

Aussi, le probleme technique a resoudre par l'objet de la 
presente invention est de proposer un procede de securisation d au 
5 moins une donnee dans une memoire reinscriptible d'un 
composant electronique, ledit composant electronique etant apte a 
effectuer des operations susceptibles de modifier ladite donnee, 
procede qui permettrait a coup sur d'eviter les inconvenients lies a 
toute interruption d'alimentation du composant quel que soit le 
io moment ou se produit cette interruption dans le deroulement de 
loperation. 

La solution au probleme technique pose consiste, selon la 
presente invention en ce que ledit procede comporte les etapes 
consistant a : 
15 a) dans une phase d'initialisation : 

- definir dans ladite memoire reinscriptible : 

° une zone d'ecriture de la donnee, 

0 une zone de sauvegarde de la donnee, dans laquelle est 
inscrite une valeur non corrompue de ladite donnee, 
20 ° une zone d'indication de restauration, dans laquelle est 

inscrite une valeur d'un indicateur de restauration, 

- definir dans une memoire morte du composant electronique 
une valeur, dite de restauration, de l'indicateur de 
restauration, indiquant qu'une restauration de la donnee 

25 doit etre effectuee suite a une corruption d'ecriture de ladite 

donnee, 

- definir une valeur, dite d'effacement, de Tindicateur de 
restauration, differente de la valeur de restauration, 

b) a chaque acces de ladite zone d'ecriture : 
30 - lire dans la zone d'indication de restauration la valeur dudit 

indicateur de restauration, 

- si la valeur de Tindicateur de restauration est egale a ladite 
valeur de restauration, effectuer une restauration de la 
donnee en inscrivant dans la zone d'ecriture la valeur de la 

35 donnee inscrite dans ladite zone de sauvegarde, et inscrire 
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dans la zone d'indication de restauration ladite valeur 
d'effacement de l'indicateur de restauration. 
Ce type de procede peut etre mis en oeuvre lorsque Ton desire 
seulement acceder a la zone d'ecriture, pour simple lecture de la 
5 valeur qui y est inscrite, comme le credit disponible dans un porte- 
monnaie electronique. 

Lorsque Ton veut maintenant modifier la valeur inscrite dans 
la zone d'ecriture, suite a une transaction effectuee au moyen dudit 
porte-monnaie electronique par exemple, il est prevu que le 
10 procede de securisation de 1'invention comporte en outre les etapes 
consistant, a chaque mise a jour de ladite zone d'ecriture, a : 

- sauvegarder la valeur de ladite donnee inscrite dans la zone 
d'ecriture en l'inscrivant dans la zone de sauvegarde, 

- inscrire dans la zone d'indication de restauration ladite 
15 valeur de restauration, 

- inscrire dans la zone d'ecriture une nouvelle valeur de la 
donnee, resultant de l'operation, 

- inscrire dans la zone d'indication de restauration ladite 
valeur d'effacement de l'indicateur de restauration. 

20 La description qui va suivre en regard des dessins annexes, 

donnes a titre d'exemples non limitatifs, fera bien comprendre en 
quoi consiste 1'invention et comment elle peut etre realisee. 

La figure 1 est une representation schematique des zones- 
memoire d'un composant electronique securise au moyen du 
25 procede de 1'invention. 

La figure 2 est un schema synoptique d'un premier mode de 
mise en oeuvre du procede de 1'invention. 

La figure 3 est un schema synoptique d'un deuxieme mode de 
mise en oeuvre du procede de 1'invention. 
30 Sur la figure 1 sont representees de maniere schematique des 

zones-memoire d'un composant electronique appartenant, par 
exemple, a un porte-monnaie electronique destine a effectuer des 
transactions financieres avec un terminal prevu a cet effet. 

Comme l'indique la figure 1, ledit composant electronique 
35 comprend une memoire reinscriptible EEPROM, qui d'ailleurs 
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pourrait etre tout aussi bien une memoire flash EPROM, dans 
laquelle doit etre inscrite de maniere securisee une donnee DATA 
susceptible d'etre modifiee au cours de l'operation realisee par le 
composant electronique. Dans le cas d'une transaction financiere, 
5 cette donnee peut etre le credit disponible dans le porte-monnaie 
ainsi que le nombre de transactions effectuees, lequel s incremente 
d une unite a chaque transaction validee. 

Dans une phase d'initialisation, le procede de securisation de 
la donnee DATA consiste a definir dans la memoire reinscriptible 
io EEPROM trois zones distinctes, respectivement referencees ZE, ZS 
et Zi. 

La zone ZE est une zone d'ecriture dans laquelle est inscrite 
toute nouvelle valeur de la donnee DATA. Le but du procede de 
l'invention etant precisement d'eviter les inconvenients lies a une 
15 corruption d'ecriture de ladite donnee dans la zone ZE d'ecriture, 
due par exemple a une coupure de l'alimentation electrique du 
composant electronique, il est prevu une zone ZS de sauvegarde de 
la donnee, destinee a recevoir, selon un processus qui sera decrit 
plus loin, une valeur de la donnee dont il peut etre etabli avec 
20 certitude qu'elle est non corrompue. Enfin, dans la zone notee Zi, 
dite d'indication de restauration, est inscrite la valeur prise par un 
indicateur INR(Zi) de restauration au cours du deroulement du 
procede de securisation de l'invention. Plus particulierement, ledit 
indicateur INR(Zi) de restauration peut prendre une valeur INR(l), 
25 dite de restauration, indiquant qu'une restauration de la donnee 
doit etre effectuee a partir de la zone ZS de sauvegarde, suite a une 
corruption d'ecriture de la donnee. Cette valeur INR(l), par 
exemple 87 en numerotation hexadecimale, est inscrite 
definitivement dans une memoire morte ROM du composant 
30 electronique. Est egalement definie une valeur INR(O) d'effacement, 
differente de INR(l), de l'indicateur INR(Zi) de restauration. La 
valeur INR(O) est prise par exemple egale a 00 et est affectee a 
l'indicateur INR(Zi) sur simple instruction de programmation. 

Sur la figure 2 est represente un schema synoptique d un 
35 premier mode de mise en oeuvre du procede de securisation de 
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l'invention dans le cas d un simple acces a la zone ZE d'ecriture, 
pour lecture de la donnee DATA par exemple. Comme l'indique la 
partie centrale de la figure 2, le procede de securisation consiste a 
lire dans la zone Zi d'indication de restauration la valeur dudit 
5 indicateur INR(Zi) de restauration. Puis, si la valeur de INR(Zi) est 
egale a ladite valeur INR(l) de restauration, ce qui indique que la 
valeur de la donnee dans la zone ZE d'ecriture est corrompue, on 
effectue une restauration de la donnee en inscrivant dans ladite 
zone d'ecriture la valeur de la donnee inscrite dans la zone ZS de 
10 sauvegarde, et on inscrit ensuite dans la zone Zi ladite valeur 
INR(O) d'effacement de I'indicateur de restauration, montrant ainsi 
que la valeur de la donnee inscrite dans la zone ZE d'ecriture a 
laquelle on veut acceder est une valeur non corrompue et qu'il 
n est pas necessaire d'effectuer une restauration a partir de la zone 
15 ZS de sauvegarde. Le tableau de droite de la figure 2 illustre ce 
processus dans le cas ou la valeur DATA(n-2) de la donnee lors 
d une (n-2)*me transaction n'a pas ete corrompue et normalement 
sauvegardee dans la zone ZS, mais ou une corruption s'est 
produite au cours de la (n-l)^e transaction, portant I'indicateur 
20 INR(Zi) a la valeur INR(l) de restauration, la valeur de la donnee 
dans la zone ZE d'ecriture etant incertaine. 

On observera que, si lors de la restauration de la donnee 
DATA (n-2) de la zone ZS de sauvegarde vers la zone ZE d'ecriture 
une coupure d'alimentation se produisait, cela n'aurait aucune 
consequence nefaste puisque, I'indicateur INR(Zi) restant egal a sa 
valeur INR(l) de restauration, une nouvelle restauration aurait lieu 
a la demande suivante d'acces a la zone ZE d'ecriture. 

Par contre, on peut voir sur le tableau de gauche de la figure 2 
que si, a l'inverse, la (n-l)^e transaction s'est effectuee 
normalement, sans corruption, la derniere valeur DATA (n-1) est 
inscrite dans la zone ZE d'ecriture et que , I'indicateur INR(Zi) 
ayant la valeur INR(O), l'acces a la zone ZE se fera directement, 
sans restauration. 

La figure 3 represente un schema synoptique d'un deuxieme 
mode de mise en oeuvre du procede de securisation de l'invention 
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dans le cas d'une mise a jour de la zone ZE d'ecriture, lorsque, par 
exemple, il faut modifier le credit disponible d un porte monnaie 
electronique a la suite d'une transaction financiere. 

Cette operation de mise a jour debute d'abord par un acces a 
la zone ZE d'ecriture, conformement au processus qui vient d'etre 
decrit, puis, comme le montre plus particulierement la partie 
centrale de la figure 3, on precede a une sauvegarde de la donnee 
inscrite dans la zone ZE d'ecriture en l'inscrivant dans la zone ZS 
de sauvegarde. Cette sauvegarde est sans effet sur le contenu des 
zones ZE et ZS si, initialement, l'indicateur INR(Zi) avait la valeur 
INR(l) (tableau de droite de la figure 3). Par contre, si la valeur 
initiale INR(Zi) est INR(O) (tableau de gauche de la figure 3), la 
sauvegarde de la zone ZE a pour effet de remplacer la valeur DATA 
(n-2) dans la zone ZS par la valeur DATA (n-1) contenue dans ZE. 
On remarque qu'une corruption survenant lors de la sauvegarde 
est sans consequence puisque, d une part, elle n affecte que la zone 
ZS de sauvegarde et que, d'autre part, l'indicateur INR(Zi) etant 
different de INR(l), aucune restauration ne sera realisee au debut 
de la transaction suivante. 

Apres la sauvegarde de la zone ZE d'ecriture, on inscrit dans 
la zone Zi de restauration ladite valeur INR(l) de restauration. 
Puis, la n*™« transaction est effectuee en inscrivant dans la zone 
ZE la nouvelle valeur DATA (n) de la donnee. Si une interruption 
d'alimentation electrique du composant a lieu au cours de cette 
inscription une restauration de la donnee sera automatiquement 
effectuee puisque la valeur de l'indicateur INR(Zi) etant la valeur 
INR(l) de restauration, la derniere valeur non corrompue de la 
donnee, DATA(n-l) ou DATA (n-2), sera inscrite dans la zone ZE au 
cours de la (n- l)>eme transaction 

Enfin, si l'ecriture de la nouvelle donnee DATA(n) dans la zone 
ZE s'est effectuee sans corruption, on inscrit dans la zone Zi ladite 
valeur INR(O) d'effacement de l'indicateur de restauration, aucune 
restauration n'etant necessaire au debut de la (n+lpme transaction. 
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Procede de securisation d'au moins une donnee dans une 
memoire reinscriptible (E 2 PROM) d'un composant 
electronique, ledit composant electronique etant apte a 
effectuer des operations susceptibles de modifier ladite 
donnee, caracterise en ce que ledit procede comporte les 
etapes suivantes : 
a) dans une phase d'initialisation : 

- definir dans ladite memoire reinscriptible (E2PROM) : 

0 une zone (ZE) d'ecriture de la donnee, 

• une zone (ZS) de sauvegarde de la donnee, dans 

laquelle est inscrite une valeur non corrompue de 

ladite donnee, 

0 une zone (Zi) d'indication de restauration, dans 
laquelle est inscrite une valeur d'un indicateur 
(INR(Zi)) de restauration, 

- definir dans une memoire morte (ROM) du composant 
electronique une valeur (INR(l)), dite restauration, de 
lindicateur (INR(Zi)) de restauration, indiquant qu'une 
restauration de la donnee doit etre effectuee suite a une 
corruption d'ecriture de ladite donnee, 

- definir une valeur (INR(O)), dite d'effacement, de 
lindicateur (INR(Zi)) de restauration, differente de la 
valeur (INR(l)) de restauration, 

a chaque acces de ladite zone (ZE) d'ecriture : 

- lire dans la zone (Zi) d'indication de restauration la valeur 
dudit indicateur (INR(Zi))de restauration, 

si la valeur de l indicateur de restauration est egale a 
ladite valeur (INR(l)) de restauration, effectuer une 
restauration de la donnee en inscrivant dans la zone (ZE) 
d'ecriture la valeur de la donnee inscrite dans ladite zone 
(ZS) de sauvegarde et inscrire dans la zone (Zi) d'indication 
de restauration ladite valeur (INR(O)) d'effacement de 
l'indicateur de restauration. 
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Procede selon la revendication 1, caracterise en ce qu'il 
comporte en outre les etapes consistant, a chaque mise a jour 
de ladite zone (ZE) d'ecriture, a : 

- sauvegarder la valeur de ladite donnee inscrite dans la zone 
(ZE) d'ecriture en l'inscrivant dans la zone (ZS) de 
sauvegarde, 

- inscrire dans la zone (Zi) dindication de restauration ladite 
valeur (INR(l)) de restauration, 

- inscrire dans la zone (ZE) d'ecriture une nouvelle valeur de 
la donnee, resultant de l'operation, 

- inscrire dans la zone (Zi) d'indication de restauration ladite 
valeur (INR(O)) d'effacement de l'indicateur de restauration. 
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